当前位置: 移动技术网 > 网络运营>安全>漏洞 > 简单七步教你如何解决关键SSL安全问题和漏洞

简单七步教你如何解决关键SSL安全问题和漏洞

2018年02月26日  | 移动技术网网络运营  | 我要评论
ssl(安全套接字层)广泛地用于web浏览器与服务器之间的身份认证和加密数据传输,以保障在internet上数据传输之安全。下面小编将为大家探讨新的ssl安全形势以及新的安全问题。

下面让我们来了解这些ssl安全问题以及可帮助信息安全专业人员解决这些问题及安全部署ssl的七个步骤。

第一步:ssl证书

ssl证书是ssl安全的重要组成部分,并指示用户网站是否可信。基于此,ssl必须是从可靠的证书颁发机构(ca)获取,而且ca的市场份额越大越好,因为这意味着证书被撤销的几率更低。企业不应该依靠自签名证书。企业最好选择采用sha-2散列算法的证书,因为目前这种算法还没有已知漏洞。

扩展验证(ev)证书提供了另一种方法来提高对网站安全的信任度。大多数浏览器会将具有ev证书的网站显示为安全绿色网站,这为最终用户提供了强烈的视觉线索,让他们知道该网站可安全访问。

第二步:禁用过时的ssl版本

较旧版本的ssl协议是导致ssl安全问题的主要因素。ssl 2.0早就遭受攻击,并应该被禁用。而因为poodle攻击的发现,ssl 3.0 现在也被视为遭受破坏,且不应该被支持。web服务器应该配置为在第一个实例中使用tlsv1.2,这提供了最高的安全性。现代浏览器都支持这个协议,运行旧浏览器的用户则可以启用tls 1.1和1.0支持。

第三步:禁用弱密码

少于128位的密码应该被禁用,因为它们没有提供足够的加密强度。这也将满足禁用输出密码的要求。rc4密码应该被禁用,因为它存在漏洞容易受到攻击。

理想情况下,web服务器应该配置为优先使用ecdhe密码,启用前向保密。该选项意味着,即使服务器的私钥被攻破,攻击者将无法解密先前拦截的通信。

第四步:禁用客户端重新协商

重新协商允许客户端和服务器阻止ssl交流以重新协商连接的参数。客户端发起的重新协商可能导致拒绝服务攻击,这是严重的ssl安全问题,因为这个过程需要服务器端更多的处理能力。

第五步:禁用tls压缩

crime攻击通过利用压缩过程中的漏洞,可解密部分安全连接。而禁用tls压缩可防止这种攻击。另外要注意,http压缩可能被time和breach攻击利用;然而,这些都是非常难以完成的攻击。

第六步:禁用混合内容

应该在网站的所有区域启用加密。任何混合内容(即部分加密,部分未加密)都可能导致整个用户会话遭攻击。

第七步:安全cookie和http严格传输安全(hsts)

确保所有控制用户会话的cookie都设置了安全属性;这可防止cookie通过不安全的连接被暴力破解和拦截。与此类似,还应该启用hsts以防止任何未加密连接。

按照这些步骤的话,ssl部署会很安全。但请注意,处理s,想了解更多精彩教程请继续关注移动技术网网站!

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网